Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על איומים מתואמים

התכונה 'איומים קשורים' ב-Security Command Center עוזרת לכם לגלות איומים פעילים קריטיים בסביבה שלכם. התפוקה של 'איומים קשורים' היא קבוצה של ממצאי איומים קשורים, והיא מספקת הסברים מעמיקים על הממצאים האלה. אתם יכולים להשתמש בהסברים האלה כדי לתעדף את האיומים, להבין אותם ולתת להם מענה.

צוותי אבטחה סובלים לעיתים קרובות מעייפות כתוצאה מניהול מספר עצום של ממצאי איומים. במצב כזה, יכול להיות שלא תקבלו תשובות או שהתשובות יתעכבו. הצוותים האלה צריכים לקבל במהירות מידע רלוונטי וחשוב כדי לזהות פעילות שמתרחשת אחרי ניצול לרעה.

התכונה 'איומים קשורים' עוזרת בכך שהיא מרכזת כמה ממצאים שקשורים לאיומים לבעיה אחת. הצבירה הזו עוזרת לספק זיהויים ברמת סמך גבוהה יותר, שאפשר לפעול לפיהם. התכונה 'איומים מתואמים' יוצרת בעיה שמייצגת סדרה של פעילויות זדוניות קשורות.

לתכונה הזו יש כמה יתרונות:

היא מפחיתה את עייפות ההתראות על ידי איחוד של ממצאים רבים לבעיות קריטיות.
השילוב של כמה אותות משפר את רמת הדיוק של הזיהוי, ועוזר להגביר את הביטחון בזיהוי פעילות זדונית.
הדמיה של שרשרת התקיפה, שבה מוצג איך האירועים קשורים זה לזה כדי ליצור סיפור תקיפה מלא. הגישה הזו עוזרת לצפות את פעולות התוקף ולזהות במהירות נכסים שנפרצו.
הוא מדגיש איומים קריטיים ומספק המלצות ברורות, כדי לעזור לכם לקבוע סדרי עדיפויות ולזרז את התגובה.

איך פועלות תופעות שקשורות לאיומים

התכונה 'איומים קשורים' משתמשת במנוע כללים כדי לזהות ולצרף ממצאי אבטחה קשורים.

מנוע הכללים שולח שאילתות ל-Security Graph באמצעות שאילתות מוגדרות מראש של איומים מתואמים. לאחר מכן, המנוע מתרגם את תוצאות השאילתה לבעיות. ב-Security Command Center מנוהל מחזור החיים של בעיות האיומים האלה. בעיה נשארת פעילה למשך 14 ימים אחרי הממצא הראשון של איום, אלא אם משתיקים אותה או מסמנים אותה כלא פעילה. התקופה הזו מוגדרת באופן אוטומטי ואי אפשר לשנות אותה. איומים מתואמים נפתרים אוטומטית אם המשאבים הבסיסיים, כמו מכונות וירטואליות או צמתים של Google Kubernetes Engine, נמחקים.

כללים של איומים מתואמים דורשים הפעלות תכופות יותר של כללים מאשר כללים אחרים של Security Graph. המערכת מעבדת כללי איומים מדי שעה. הגישה הזו משתלבת עם מקורות הזיהוי הקיימים של Security Command Center.

כללים של איומים מתואמים

התכונה 'איומים מתואמים' עוזרת לזהות דפוסי תקיפה שונים בכמה שלבים במשאבי הענן. הכללים הבאים של איומים קשורים זמינים:

אותות רבים של איומים שקשורים לתוכנות לכריית מטבעות קריפטוגרפיים: Google Cloud הכלל הזה מחפש אותות רבים ושונים של תוכנות זדוניות שמגיעים ממכונות וירטואליות, כולל מכונות וירטואליות של Compute Engine וצמתים (Nodes) של Google Kubernetes Engine‏ (GKE) (וה-Pods שלהם).

דוגמאות:
- התכונה 'זיהוי איומים ב-VM' מזהה תוכנה של מטבעות וירטואליים, והתכונה 'Event Threat Detection' מזהה חיבורים לכתובות IP או לדומיינים של מטבעות וירטואליים מאותו VM.
- זיהוי איומים בקונטיינר מזהה תוכנה שמשתמשת בפרוטוקול stratum לכריית מטבע וירטואלי, ו-Event Threat Detection מזהה חיבור לכתובת IP של כריית מטבע וירטואלי מאותו צומת של Google Kubernetes Engine.
אותות רבים של תוכנות זדוניות שקשורים זה לזה: הכלל הזה מחפש אותות רבים ושונים של תוכנות זדוניות שמגיעים ממכונות וירטואליות שלGoogle Cloud , כולל מכונות וירטואליות של Compute Engine וצמתים (Nodes) של GKE (וה-Pods שלהם).

דוגמאות:
- זיהוי איומים בקונטיינר מזהה את ההרצה של קובץ בינארי זדוני ושל סקריפט Python זדוני באותו Pod.
- ‫Event Threat Detection מזהה חיבור לכתובת IP של תוכנה זדונית, ו-VM Threat Detection מזהה תוכנה זדונית בדיסק באותו VM.
תנועה לרוחב בחשבון GCP שנפרץ, שעלולה להוביל למשאב מחשוב שנפרץ: הכלל הזה מחפש הוכחות לקריאות חשודות ל-API של מחשוב (Compute Engine או GKE) שמשנות מכונה וירטואלית או Pod. לאחר מכן, הכלל מבצע קורלציה בין הפעילות הזו לבין פעילות זדונית שמקורה במשאב המחשוב בתוך פרק זמן קצר. תוקפים משתמשים בדרך כלל בדפוס התנועה הרוחבית הזה. הכלל הזה מציין שכנראה יש פרצה באבטחה של ה-VM או ה-Pod. הכלל הזה מציין גם שGoogle Cloud החשבון (משתמש או חשבון שירות) עשוי להיות הגורם לפעילות הזדונית.

דוגמאות:
- התכונה Event Threat Detection מזהה שמשתמש הוסיף מפתח SSH חדש למכונת Compute Engine, והתכונה VM Threat Detection מזהה כריית מטבעות קריפטוגרפיים שמתבצעת באותה מכונה.
- ‫Event Threat Detection מזהה שחשבון שירות ניגש למכונה באמצעות Compute Engine API מרשת Tor, ו-Event Threat Detection מזהה חיבורים לכתובת IP זדונית מאותה מכונה.
- Event Threat Detection מזהה שמשתמש יצר קונטיינר עם הרשאות מיוחדות, וזיהוי איומים בקונטיינר מזהה שהקונטיינר ניגש לקבצים רגישים בצומת GKE מאותו Pod.

חקירת איומים קשורים

התכונה 'איומים מתואמים' מנחה אתכם בתהליך חקירה מובנה. התהליך הזה עוזר לכם להבין אירועי אבטחה ולהגיב להם בצורה יעילה. אפשר להשתמש באינדקס של ממצאי איומים כדי למצוא מידע נוסף על ממצא איום ספציפי. בכל דף שמתייחס לממצא ספציפי מוסבר איך לחקור את האיום ולטפל בו.

תפיסה

אתם מקבלים בעיה מסוג Correlated Threats דרך Security Command Center. הבעיה הזו מציינת שהמערכת זיהתה וקיבצה כמה ממצאים חשודים. הבעיה הזו מסומנת כאיום פעיל, ולכן היא בעדיפות גבוהה. המתאם בין כמה אותות מצביע על תוצאה חיובית אמיתית שצריך להתמקד בה באופן מיידי. מידע נוסף מופיע במאמר ניהול בעיות ותיקון שלהן.

פירוק

פותחים את הבעיה כדי לראות את החלקים שלה. בתצוגת פרטי הבעיה, אפשר להרחיב קטע כדי לראות את הממצאים הספציפיים. לדוגמה, אם סקריפט מזיק פועל בצומת GKE ואז מתחבר לכתובת IP זדונית, שני האירועים יופיעו יחד. כדאי לבדוק את הפרטים של כל ממצא, כמו מתי הוא התרחש, אילו תהליכים היו מעורבים, מהן כתובות ה-IP הזדוניות ומאיפה הגיע הזיהוי. המידע הזה מצביע על כך שהאירועים קשורים זה לזה, ומסביר את הפרטים הטכניים של המתקפה. תצוגה כרונולוגית מציגה את רצף האירועים. המערכת ממפה את הפרטים האלה לשלבים בשרשרת התקפות של MITRE ATT&CK ומציגה אותם בתרשים של שרשרת התקפות. התכונה הזו מספקת הקשר מיידי לגבי שלב המתקפה.

זיהוי היקף ההרשאות

קובעים את היקף האיום. בודקים את המידע ההקשרי על האירועים שקשורים זה לזה, כמו הנכס שהושפע וההקשר של הפרויקט או האשכול שלו. הפלטפורמה מבצעת קורלציה בין בעיות לפי משאב, באמצעות מזהים ייחודיים כדי לקשר אירועים לאותו צומת. העמודה הזו מציגה את הנכס שהושפע. בודקים אם נכסים אחרים מציגים סימנים דומים. שימו לב לזהויות המעורבות, כמו חשבון השירות או המשתמש שהפעיל את הסקריפט הזדוני. תצוגה של קבוצות משנה זו עוזרת לכם להתמקד במערכות המושפעות ולוודא שהאירוע הוא מקומי או נרחב.

הפעולות הבאות

המערכת מסמנת בעיות שקשורות לאיומים מתואמים בחומרה קריטית. אפשר למצוא פעולות מומלצות בתצוגות איך לפתור את הבעיה. לכלול את הנכס המושפע, למשל, על ידי בידוד או כיבוי של צומת GKE מושפע. פועלים לפי ההמלצות, כמו חסימת כתובת ה-IP הזדונית הידועה ברמת חומת האש או ברמת ה-VPC בענן. הפעולות המומלצות עוזרות לכם להגיב מהר יותר, לטפל באירוע ולהתחיל בחקירה ממוקדת. מידע נוסף על חקירת איומים זמין במאמר איך חוקרים איומים.